Nedávno NirSoft vydal bezplatný nástroj s názvem EncryptedRegView, který vám pomůže najít, dešifrovat a zobrazit data v registru, která jsou chráněna šifrovacím systémem DPAPI Windows. Toto schéma není tak často používané, dokonce ani u produktů vlastněných společností Microsoft, ale tento program stále dokáže najít podrobnosti z aplikace Microsoft Edge, hesla v aplikaci Outlook a další zajímavé věci na PC.

Je to opravdu snadné a srozumitelné. Doporučujeme jej spustit jako správce. Po zobrazení dialogového okna pro otevření klikněte na tlačítko OK a podívejte se, jak program prohledá váš registr. Ukáže vám každou položku chráněnou pomocí DPAPI, která se nachází na počítači, má sloupce pro hodnoty hash a šifrování, cestu k registru, dešifrované a původní hodnoty a mnoho dalších. Pokud jste však jen běžný uživatel, pro vás to nebude nic znamenat. Uvidíte tam pouze cestu podobnou například HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ IdentityCRL \ Immersive \ production \ Token {60782261-81D18-4323-9C64-10DE93176363} a nic jiného.

I tak však existují i ​​další věci, které by se vám mohly zdát zajímavé, například skutečnost, že testovací systém může mít různá jména hodnot „Heslo POP3“. Ve skutečnosti se jedná o skutečnou e-mailovou adresu zobrazenou jako „dešifrovaná hodnota“. Každý má v registru cestu a zahrnuje Microsoft \ Office \ 16.0 \ Outlook \ Profiles, což ukazuje, že to, co vidíte, je heslo aplikace Outlook.

To je samozřejmě užitečné, ale program vám přesně neříká, které heslo patří k tomu účtu Outlook, takže pokud to chcete zjistit, musíte dále prozkoumat cestu k profilu nalezenou v registru.

Naštěstí existuje spousta dalších věcí, které můžete udělat a prozkoumat program. Položky, které chcete uložit, můžete uložit jako html zprávu, text nebo csv, pokud je chcete později analyzovat. K dispozici je také možnost spuštění pokročilého vyhledávání, které vám umožní skenovat externí HDD.